INTEL-SA-00075 Sicherheitsempfehlung zu Intel AMT, SBT und ISM Privilege Escalation

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Intel hat am 1. Mai 2017 die Sicherheitsempfehlung (Security Advisory) INTEL-SA-00075 zu Systemen mit Intel Active Management Technology (AMT), Intel Small Business Technology (SBT) und Intel Standard Manageability (ISM) veröffentlicht.[1] Darin warnt Intel vor einer möglichen Privilege Escalation (Rechteausweitung).[2] Aus dem Thomas-Krenn-Portfolio ist der LES LI3Z betroffen, sofern dieser mit einer CPU mit Intel vPRO Unterstützung ausgestattet ist. Weitere Systeme von Thomas-Krenn sind nach dem bisherigen Ermittlungsstand nicht betroffen.

Betroffene Systeme

Potentiell betroffen sind laut Intel ausschließlich Systeme mit Intel AMT, SBA oder ISM Unterstützung.[1]

Konkret sind zwei Schwachstellen vorhanden:

  • Netzwerk Schwachstelle: Ein Angreifer könnte über das Netzwerk Systemrechte erlangen, sofern Intel AMT oder Intel ISM provisioniert (aktiviert wurde).
  • Lokale Schwachstelle: Ein lokaler Angreifer könnte eine Provisionierung von Intel AMT, Intel ISM oder Intel SBT durchführen.

LES LI3Z

Der LES LI3Z ist von dieser Sicherheitsempfehlung betroffen, sofern er mit einer CPU mit Intel vPRO Unterstützung (z.B. Intel Core i5-4590T oder Intel Core i7-4785T) ausgestattet ist. LES LI3Z Systeme mit einer Intel Celeron CPU sind nicht betroffen:

Empfohlene Schritte, wenn Ihr LES LI3Z System betroffen ist:

  1. Führen Sie wie im INTEL-SA-00075 Detection Guide[3] beschrieben das Tool INTEL-SA-00075-GUI.exe aus. Überprüfen Sie dabei, ob ihr System als angreifbar (Vulnerable) ausgewiesen wird. Überprüfen Sie weiters, ob in der Zeile State: der Zustand Provisioned oder Not Provisioned angeführt wird.
    Hinweis: Im Falle von Not Provisioned besteht ausschließlich die lokale Schwachstelle. Ein Angriff über das Netzwerk ist laut aktuellen Informationen in diesem Fall nicht möglich.
  2. Führen Sie die von Intel im INTEL-SA-00075 Mitigation Guide[4] beschriebenen Schritte zur Absicherung des Systems durch.
  3. Aktualisieren Sie das BIOS (und damit auch die Management Engine) des Systems.

BIOS Update

Die neue BIOS-Version für den LES LI3Z ist nun in unserem Download-Bereich verfügbar: Downloads - LES LI3Z (Ver. 1.*) Die Versionen des LES LI3Z mit Intel Core i5-4590T bzw. Intel Core i7-4785T sind nun nicht mehr verwundbar:

Systeme anderer Hersteller

Bei anderen Systemen folgenden Sie den folgenden Hinweisen von Intel in der Sicherheitsempfehlung:

  • Step 1: Determine if you have an Intel® AMT, Intel® SBA, or Intel® ISM capable system: https://communities.intel.com/docs/DOC-5693. If you determine that you do not have an Intel® AMT, Intel® SBA, or Intel® ISM capable system then no further action is required.[1]

Falls Sie den Verdacht haben, Ihr System könnte Intel AMT, SBA oder ISM Unterstützung haben, führen Sie die Schritte durch, die Intel im Detection Guide erläutert:

  • Step 2: Utilize the Detection Guide to assess if your system has the impacted firmware: https://downloadcenter.intel.com/download/26755. If you do have a version in the “Resolved Firmware” column no further action is required to secure your system from this vulnerability.[1]

Falls Ihr System betroffen ist, fragen Sie beim Hersteller nach einem entsprechenden Update und führen Sie Abschwächungsmaßnahmen laut Mitigation Guide durch:

  • Step 3: Intel highly recommends checking with your system OEM for updated firmware. Firmware versions that resolve the issue have a four digit build number that starts with a “3” (X.X.XX.3XXX) Ex: 8.1.71.3608.[1]
  • Step 4: If a firmware update is not available from your OEM, mitigations are provided in this document: https://downloadcenter.intel.com/download/26754[1]

Nicht betroffene Systeme

Systeme ohne Intel AMT, SBA oder ISM Unterstützung sind laut Intel nicht betroffen. Dazu zählen beispielsweise die Server-Systeme von Thomas-Krenn.

Laut aktuellen Informationen sind auch die Desktop-Systeme von Thomas-Krenn nicht betroffen, da diese keine Intel AMT, SBA oder ISM Funktionalität bieten.

Wie von Intel beschrieben haben wir zur Überprüfung aber dennoch Tests mit dem SCSDiscovery Tool durchgeführt. Das Ausführen des Tools mit den Parameter SCSDiscovery.exe SystemDiscovery /noregistry' erstellt auf einem Thomas-Krenn-Server mit Supermicro X10DRi Mainboard folgende XML-Datei:

Thomas-Krenn-Server-mit-Supermicro-X10DRi-Mainboard.png

Laut Detection Guide sind Systeme, bei denen keine AMTSKU angeführt wird (so wie im Beispiel des Thomas-Krenn-Servers oben), nicht betroffen (Not Vulnerable):

INTEL-SA-00075-Detection-Guide-SCS.png

Weitere Informationen

Einzelnachweise

  1. 1,0 1,1 1,2 1,3 1,4 1,5 Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege (security-center.intel.com)
  2. Rechteausweitung (de.wikipedia.org)
  3. INTEL-SA-00075 Detection Guide (downloadcenter.intel.com)
  4. INTEL-SA-00075 Mitigation Guide (downloadcenter.intel.com)

Änderungshistorie dieses Artikels

  • Version 1.0, veröffentlicht am 3. Mai 2017: Initiale Version
  • Version 1.1, veröffentlicht am 5. Mai 2017: Information zum LES LI3Z ergänzt, Weitere Informationen ergänzt
  • Version 1.2, veröffentlicht am 23. Mai 2017: Information zum verfügbaren BIOS Update des LES LI3Z ergänzt
  • Version 1.3, veröffentlicht am 24. Mai 2017: Screenshots mit neuem BIOS des LES LI3Z ergänzt
  • Version 1.3.1, veröffentlicht am 7. Juli 2017: Versionsinformationen ergänzt


Foto Werner Fischer.jpg

Autor: Werner Fischer

Werner Fischer, tätig im Bereich Communications / Knowledge Transfer bei Thomas-Krenn, hat sein Studium zu Computer- und Mediensicherheit an der FH Hagenberg abgeschlossen. Er ist regelmäßig Autor in Fachzeitschriften und Speaker bei Konferenzen wie LinuxCon, OSDC, OSMC, LinuxTag u.v.m. Seine Freizeit gestaltet er sehr abwechslungsreich. In einem Moment absolviert er seinen Abschluss im Klavierspielen, im anderen läuft er beim Linzmarathon in der Staffel mit oder interessiert sich für OpenStreetMap.


Das könnte Sie auch interessieren

IPMI Konfiguration Supermicro mittels BIOS oder Webinterface
Login im Supermicro Remote Management Webinterface funktioniert nicht
Redfish